觀點

端點安全何去何從?

2006 / 06 / 21
王婷儀
端點安全何去何從?

用戶端點安全(Endpoint Security)成為今年最火熱的資訊安全議題之一,其實並不令人意外。不管你花多少力氣建構企業防線,總是會有筆記型電腦這種漏網之魚,會將蠕蟲、病毒或是間諜程式帶進企業網路之中。

配有無線網卡的筆記型電腦,讓公司員工在家裡或戶外,都能像在公司一樣地處理業務,而公司顧問或廠商,常常一進公司就將隨身的筆記型電腦接上企業內網路,你怎麼知道他們的電腦會夾帶些什麼鬼東西進來呢?

網路設備龍頭和作業系統巨擘:思科(Cisco)與微軟(Microsoft),都開始倡導用戶端點安全,唯有符合企業安全規範的設備或主機,才能接上企業內部網路。因此,Cisco提出了建構在Cisco交換器架構的網路存取控制方案(NAC, NetworkAccess Control)方案。而微軟,則推展建構在微軟作業系統上的「Microsoft’s Network AccessProtection (NAP)」方案。除了這兩大業界方案外,可信賴運算組織(TCG, Trusted Computing Group),也積極推動所謂的「可信賴網路連結標準(TNC, Trusted Network Connect) 」。

這些都可用來作為企業網路用戶端點安全的解決方案,如此一來,管理者便不必擔心企業網路,被外來的中毒電腦所影響。

我要的是安全存取方法!
企業首先要解決的第一個資安問題,便是詳細定義公司的網路存取政策、偵測出究竟是哪些設備連上公司網路、即時評估這些裝置或主機是否符合政策規範,有效地執行存取政策,並且隔離問題主機。

建構任何安全架構都不是那麼簡單的事了,建立起一個可運作的用戶端點安全架構,更不是一朝一夕能完成。以下介紹三大解決方案:NAC、NAP以及TNC,有些部分目前還在發展階段,建構起來也所費不眥,不易理解。此外,由於這些方案都以用戶端安全為目標,所以在某些方面的做法,可能會有些許相似。

Cisco的NAC方案,著重在網路架構及政策規劃與管理能力。當然,前提是企業內大多採用Cisco設備,並且想藉由Cisco設備與其安全方案,來保護用戶端。

Microsoft的NAP方案,則著重在系統狀態的監控與矯正。前提是您的伺服器或桌上型電腦採用的是微軟作業系統,而且希望這些主機都能安全地運作。

Trusted Computing Group的TNC方案,則提供一個彈性的安全架構。藉由安裝在用戶端主機的硬體設施來確認是否發生問題,並根據硬體來監控或執行用戶端安全的政策。就讓我們瞧瞧這些方案提供了哪些功能,以及有哪些缺點吧。


Cisco的NAC方案
Cisco的NAC方案
由於有網路設備上的優勢與眾多產品的支援,Cisco NAC可說是目前市場上領先的解決方案。NAC藉由Cisco路由器與交換設備的支援,可以有效地維護網路上用戶端點的存取安全,而且不論是Windows或是Linux用戶端,皆能納入保護體制之內。

許多廠商都支援NAC方案,這樣的好處在於,你可以靠許多不同的產品組合起來,來完成用戶端安全的五大需求。在企業所規定的安全政策之下,你可能需要在用戶端上安裝兩種代理程式(agent)來達到所要求的複雜安全規範,並且還要做SSL VPN連線的安全性檢查。

我們用下列例子來說明:
NAC架構中的CTA(Cisco Trusted Agent)可安裝在用戶端系統上,蒐集系統上的資訊,並藉由802.1X機制傳送至Cisco的RADIUS 伺服器(ACS,安全存取伺服器Secure Access Control Server)。ACS可與其他廠商的安全規範伺服器(像是防毒主機、軟體更新狀態伺服器)連結,來執行安全政策,並藉由交換器來限制網路存取。

有些資安工程師覺得NAC麻煩,因為要靠許多元件才能佈署起來。而且,還要將每一個Cisco設備的IOS升級後才能設定NAC。另外,在網路架構改變時,也要對每個設備進行修改,這些都讓資安工程師認為NAC方案不是那麼簡單。

NAC最主要的問題在於他採用Cisco安全架構,像是需要靠Cisco的Radius伺服器來擔任認證機構,還有,Cisco的交換器也要更新韌體。NAC方案無法在舊版Cisco設備上運作,需要升級系統才能建置。

「建構NAC較麻煩的地方在於要升級IOS版本」,專門提供金融服務業IT技術的BT Radianz公司副總與安全長Lloyd Hession 說道,「在我們的網路上有超過40,000部路由器,這真是一件很困難的方案。」因此,Hession選擇了Consentry公司的區網設備來擔任MAC層過濾與網路存取控制的工作。Consentry生產的inline安全設備,雖然可做政策檢測(assessement)並執行(enforcement)用戶端點的安全政策,但是在矯正(remediation)部分提供的能力卻有限,Consentry設備在偵測到用戶端問題後,僅能選擇斷網或限制連至特定VLAN。

「想辦法讓遭隔離主機恢復正常是技術門檻之一,而這正是我們目前所努力的。」Altiris 的產品經理RichLacey說到,目前他正參與公司的NAC建構計畫,其中有一項便是藉由主機的中控管理或是軟體配送,來達到矯正功能。

Cisco目前支援的防毒軟體有McAfee、TrendMicro、Symantec,及其他軟硬體廠商,(完整的支援列
表請參考http://www.cisco.com/go/nac)。

Hession覺得,目前安裝在用戶端的代理程式都沒什麼特色,「問題在於安裝一大堆代理程式是非常惱人的事情,像是你得安裝防毒軟體再加上存取控管程式。Cisco的NAC方案讓我不得不面對這個問題。」

「我們目前偏向支援代理程式方案」Cisco安全科技事業群的產品管理主任Russell Rice說道。「但我們也開始朝著無代理程式(agentless)方向來進行,藉由主動式掃描來檢測一些非微軟的設備。」

NAC並不侷限在利用代理程式來偵測異常,像是Qualys公司所推出的QualysGuard,便不需利用代理程式便能對網路設備像是印表機,或是一些無法安裝代理程式的嵌入式系統來進行監控。


Microsoft的NAP方案
微軟NAP目前雖還尚未普遍,但已經有多達60幾家廠商支援。而且,有許多廠商其實也有加入了Cisco的NAC陣營。(可參考www.microsoft.com/technet/itsolutions/network/nap/napoverview.mspx)。

Windows Server系統自Active Directory架構以來,就常被人詬病缺少良好的安全政策管理與政策執行能力,而NAP方案正要來解決此一問題。

「NAP藉由許多機制來執行安全政策,像是利用IPSEC主機認證、802.1X、VPN或DHCP」。微軟
Windows Server部門的產品經理,目前負責NAP的Mike Schutz說道。
跟NAC一樣,NAP架構可利用用戶端程式「Quarantine Agent」,來將系統資訊傳送至Microsoft的Network Policy Server,其作用跟Cisco的ACS一樣,可與third-party政策伺服器合作,檢查是否符合政策。NAP提供了DHCP、IPSec、VPN、802.1X等方式來執行安全政策。

不過,值得注意的是NAP初期僅支援Longhorn與Windows Vista,而這兩樣目前都還處在beta測試階段。而WindowsXP SP2則可能需要靠更新的方式來取得支援。不過使用更舊的Windows版本或是無法更新的微軟系統,可能就無法享用NAP方案。

認證與政策執行伺服器像是DHCP 以及RADIUS,就一定得使用Longhorn,這也讓NAP架構變的更「微
軟」。

「NAP與NAC並不是水火不容。」Schutz說道。「我們想讓大家知道這兩者可以相輔相成,客戶因此可以選擇符合自己需求的方案。」但是事實上微軟與Cisco目前都沒有加入TNC方案,也沒有任何互相合作的計畫。

美國富頓郡(Fulton County)的政府單位已經開始導入NAP,目前使用環境有舊版的Windows Server、Vista作業系統。「雖然目前所有架構都是Beta測試階段。」該單位IT部門負責規劃NAP的Keith Dickie說道。「但許多IT部門的員工告訴我,並沒有遇上任何問題。其中我們安裝了Symantec的Norton 防毒軟體加上Windows SMS、Windows Server。」

該單位使用IPSec認證方式,NAP檢查使用者電腦健康狀態,像是Norton防毒軟體的病毒碼資訊,然後才發給使用者IP位址。


TrustedComputing Group的TNC方案
TNC由數十家重要廠商組成(有人甚至說,除了Cisco以外,多數廠商都有參與),TNC大力推動現有的一些重要的公開標準。好消息是這些公開標準多少都符合網路存取安全的五大需求:政策建立、連網偵測、政策檢測、政策執行、矯正措施。而壞消息是,並不是所有標準都制定的很完善,且很令人訝異的是,少數產品聲稱所支援的一堆標準規格,實際上都還需要解決方案。

TNC主要標準組成包括支援RADIUS、802.1X認證伺服器與通訊協定,此外,還支援用戶端上的可信賴硬體晶片與軟體。(www.trustedcomputinggroup.org/groups/network/)「這不僅僅是單純的升級。」TNC的副主席,也是Juniper 公司的產品經理Steve Hanna說道。這與Cisco使用ACS的方案有明顯的不同。

利用所謂的「可信賴平台模組」(TPM, TrustedPlatform Module),它是一個PKI硬體晶片,來強化筆記型電腦的安全認證,對抗未經授權的使用者,像是竊賊、或是撿到遺失筆記型電腦的人,利用硬體方式來解決安全問題。

「現在你已經無法相信任何軟體保護方式了,因為隨時都會有Zero-day漏洞出現,或者又有哪個傢伙不小心從網路上下載了木馬程式。現在我們得靠硬體措施來解決這些問題。」Hanna說道。一些筆記型電腦大廠像是Dell、Fujitsu、HP 與Lenovo,都已將「信賴硬體模組」加入產品當中。

一經認證,信賴硬體模組將向第三方的代理程式溝通,確認電腦是否符合政策規範,在TNC架構下進行授權驗證並確認存取能力。由於TNC為公開標準,因此任何政策執行標準都可以使用。

並不讓人意外地,目前Cisco的競爭對手Juniper已經支援TNC方案,可與RADIUS 伺服器Funk合作,來達到認證與控管。


SSL VPN仍有進步空間
上述三大陣營所欠缺的是SSL VPN的支援,「目前SSL這部分尚未有產品,我們也還沒辦法提供支援,但希望很快能看到這部分的支援。」TNC的副主席Hanna說道。

SSL VPN還有很多改進的空間,僅少數支援兩種以上的防毒軟體,還有許多仍需使用Windows/IE瀏覽
器。許多VPN廠商在推出第一版產品之後才開始增加用戶端安全機制。像是Nortel 與Aventail,產品就分兩種__版本,一個有支援用戶端安全機制,另一版本則無。目前許多SSL VPN廠商開始與third-party 的用戶端安全廠商合作,這是目前除了NAC, NAP和TNC之外的新選擇,也是一塊日益看好的市場。


等不及了嗎?
這場商場上的戰役Cisco、Microsoft 以及TrustedComputing Group三大陣營才剛點燃戰火,而各企業也都希望找到一個現在可用的解決方案,且將來也能支援NAC、NAP或TNC。目前廠商的產品至少都支援部份標準,來達到安全存取的目標。

這些產品利用許多方式來執行用戶端的政策檢查,讓使用者選擇和利用登入檢查方式(login)、代理程式、ActiveX、Java-based掃描程式等方式來檢查用戶端的政策符合性,你可以混用或是選擇一個適合自己環境的方式。另外在政策執行方面,並不僅限制只能使用單一機制,越來越多產品支援許多阻擋方式,像是DHCP、802.1X、代理程式方式、inline設備以及NAC,所以你可以為公司找尋一個適合的方案。

此外,Cisco其實有另一個非NAC架構的解決方案,稱做「Clean Client Access」,是Cisco併購Perfigo之後推出的產品,利用代理程式(agent-based)提供用戶端點檢測、政策管理以及矯正服務。


沒有標準答案
其實,沒有任何一家廠商能給你拍胸脯保證,可以完全保護每一個用戶端的資訊安全。你必須自行找到適合的產品來處理公司內不同安全層級的資料,像是財務資料主機,與業務代表的筆記型電腦的安全層級是不同的,也有不同的保護措施。另外,除非你的環境全部都是使用微軟系統加上IE瀏覽器,否則你還得考量到使用其他作業系統或瀏覽器的使用者。就算假設全部環境都很單純,也沒有廠商能提供一個可以混合代理程式與無代理程式的解決方案。

如果你整個環境都使用XP/IE環境,每個使用者的主機都是管理者權限,且不介意使用者下載Java以及ActiveX程式至電腦上,那你可以採用third-party產品,或者使用像是Juniper或Aventail的VPN方案。

如果你看好微軟的NAP方案,那你可以採用微軟Windows ISA server2004的VPN相關方案,ISA Server2004這部分的功能,也將會在今年底的Longhorn作業系統上提供。

如果目前你接觸的環境中大多是Cisco的設備,且都更新到適當版本,而且你不介意將來都被Cisco設備綁死的話,那麼Cisco的NAC 方案將頗適合你。如果上述環境都不能符合你的需求,你就得好好規劃一下符合自己需求的用戶端安全方案,徹底地了解公司需要什麼樣的安全需求,以及要訂定什麼安全政策。

試著回答下列問題:
• 公司裡有哪些需將筆記型電腦帶進帶出的員工?他們使用什麼作業系統以及安全軟體?他們如何連上網路?
• 公司所聘的顧問以及廠商經常需要連進公司的網路嗎?
• 公司的網路架構為何?這種架構可以支援哪些類型的政策執行方案以及矯正方案?網路架構是否同一類型?
設備是否都已更新韌體?是否有哪些舊款的路由器或交換器無法支援網路存取方案?

要選出NAC、NAP或TNC三者,究竟哪一種方案適合目前企業環境,可能需要點時間。以上所介紹的「用戶端安全存取方案」可以保護你的用戶端正確且安全地存取網路,選一個真正恰當,且未來也能擴充的方案來保護你網路環境,避免再發生遭病毒竄入企業網路的窘境發生。